ওটিপি কোডের 'গোপন' উন্মোচন

আজকের ডিজিটাল জীবনে OTP একটি পরিচিত উপাদান, ব্যাংকিং লেনদেন থেকে শুরু করে সোশ্যাল নেটওয়ার্ক অ্যাকাউন্টগুলি সুরক্ষিত করা পর্যন্ত। খুব কম লোকই জানেন যে এই ক্ষণস্থায়ী সংখ্যার সিরিজটি একটি জটিল এনক্রিপশন প্রক্রিয়া ব্যবহার করে তৈরি করা হয়েছে, যা রিয়েল-টাইম, গোপন কী এবং স্ট্যান্ডার্ড অ্যালগরিদমকে একত্রিত করে।

OTP কীভাবে কাজ করে তা বোঝা ব্যবহারকারীদের মানসিক প্রশান্তি দেয় এবং বর্তমান সময়ের সবচেয়ে জনপ্রিয় নিরাপত্তা পদ্ধতিগুলির মধ্যে একটি সম্পর্কে স্পষ্ট ধারণা দেয়।

ওটিপি 'ওয়াল'

OTP এর অর্থ হল ওয়ান টাইম পাসওয়ার্ড, যার অর্থ এমন একটি পাসওয়ার্ড যা শুধুমাত্র একবার ব্যবহার করা যায়। এই কোডটি সাধারণত 6 সংখ্যার হয়, এলোমেলোভাবে তৈরি হয় এবং ব্যাংক স্থানান্তর, সামাজিক নেটওয়ার্ক লগইন বা অ্যাকাউন্ট প্রমাণীকরণের মতো ক্রিয়াকলাপে প্রদর্শিত হয়।

OTP-কে বিশেষ করে তোলে এর অত্যন্ত সংক্ষিপ্ত মেয়াদ, মাত্র 30 থেকে 60 সেকেন্ড। এই সময়ের পরে, কোডটির মেয়াদ শেষ হয়ে যাবে এবং ব্যবহার না করা হলে পুনরায় তৈরি করতে হবে। এটি খারাপ লোকদের দ্বারা পুরানো কোডগুলির সুবিধা নেওয়ার বা পুনঃব্যবহারের ঝুঁকি কমাতে সাহায্য করে।

ভিয়েতনামের অনেক ব্যাংক এখন অনলাইন লেনদেন নিশ্চিত করার জন্য OTP ব্যবহার করে। ব্যবহারকারীরা তাদের ফোনে একটি কোড পাবেন এবং নির্ধারিত সময়ের মধ্যে এটি সঠিকভাবে প্রবেশ করতে হবে। একইভাবে, গুগল এবং ফেসবুকের মতো প্ল্যাটফর্মগুলিও অ্যাকাউন্টগুলি সুরক্ষিত করার জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণে OTP ব্যবহার করে।

সহজ এবং ক্ষণস্থায়ী চেহারা সত্ত্বেও, OTP আজ উপলব্ধ সবচেয়ে কার্যকর সুরক্ষাগুলির মধ্যে একটি। এই কোডের সংক্ষিপ্ততা এলোমেলো নয়, বরং সময় এবং অনন্য এনক্রিপশন নীতির উপর ভিত্তি করে একটি কঠোর কোড জেনারেশন সিস্টেম দ্বারা নিয়ন্ত্রিত হয়।

একটা কোড, একটা ব্যবহার: এটা কোথা থেকে এসেছে?

আজকাল বেশিরভাগ OTP কোড TOTP মেকানিজম ব্যবহার করে তৈরি করা হয়, যার অর্থ সময় ভিত্তিক ওয়ান টাইম পাসওয়ার্ড। এটি একটি রিয়েল-টাইম কোড যা সাধারণত প্রায় 30 সেকেন্ড স্থায়ী হয় এবং তারপরে একটি নতুন কোড দ্বারা প্রতিস্থাপিত হয়।

TOTP ছাড়াও, HOTP নামে আরেকটি প্রক্রিয়া রয়েছে, যা টাইমারের পরিবর্তে একটি কাউন্টার ব্যবহার করে। তবে, HOTP কম জনপ্রিয় কারণ নির্দিষ্ট সময়ের পরে কোডটি স্বয়ংক্রিয়ভাবে মেয়াদ শেষ হয় না।

প্রতিটি OTP জেনারেট করার জন্য, সিস্টেমের দুটি উপাদানের প্রয়োজন: প্রতিটি অ্যাকাউন্টে নির্ধারিত একটি অনন্য, স্থায়ী গোপন কী এবং সিস্টেম ঘড়ি অনুসারে বর্তমান সময়। প্রতি 30 সেকেন্ডে, সময়টিকে সমান অংশে ভাগ করা হয় এবং গোপন কী-এর সাথে একত্রিত করে একটি নতুন কোড তৈরি করা হয়। এইভাবে, আপনি যেখানেই প্রমাণীকরণ অ্যাপ ব্যবহার করুন না কেন, যতক্ষণ না আপনার ডিভাইসের সময় সার্ভারের সাথে মিলে যায়, ততক্ষণ OTP সঠিক থাকবে।

প্রতিটি ৩০-সেকেন্ডের অংশকে "সময় উইন্ডো" হিসেবে বিবেচনা করা হয়। যখন সময়টি পরবর্তী উইন্ডোতে স্থানান্তরিত হয়, তখন একটি নতুন কোড তৈরি হবে। পুরানো কোডটি, যদিও মুছে ফেলা হয়নি, স্বয়ংক্রিয়ভাবে অবৈধ হয়ে যাবে কারণ এটি আর বর্তমান সময়ের সাথে মেলে না। এই প্রক্রিয়াটি প্রতিটি OTP কোডকে শুধুমাত্র সঠিক সময়ে ব্যবহারযোগ্য করে তোলে এবং কয়েক ডজন সেকেন্ড পরে পুনরায় ব্যবহার করা যায় না।

  কোড জেনারেশন প্রক্রিয়াটি আন্তর্জাতিক মানের RFC 6238 অনুসরণ করে, এনক্রিপশনের জন্য HMAC SHA1 অ্যালগরিদম ব্যবহার করে। যদিও এটি মাত্র 6 সংখ্যা তৈরি করে, সিস্টেমটি এত জটিল যে অনুমান করা প্রায় অসম্ভব করে তোলে। প্রতিটি ব্যবহারকারীর একটি অনন্য কী থাকে এবং কোড জেনারেশনের সময়ও আলাদা, তাই ডুপ্লিকেট কোডের সম্ভাবনা প্রায় শূন্য।

একটি মজার বিষয় হলো, গুগল অথেন্টিকেটর বা মাইক্রোসফট অথেন্টিকেটরের মতো অ্যাপ্লিকেশনগুলি ইন্টারনেট বা ফোন সিগন্যালের প্রয়োজন ছাড়াই OTP কোড তৈরি করতে পারে। প্রাথমিক গোপন কী দেওয়ার পর, অ্যাপ্লিকেশনটিকে স্বাধীনভাবে কাজ করার জন্য শুধুমাত্র সঠিক সময় সিঙ্ক্রোনাইজ করতে হবে। এটি প্রমাণীকরণ প্রক্রিয়ার সময় নিরাপত্তা নিশ্চিত করার সাথে সাথে নমনীয়তা বৃদ্ধি করতে সাহায্য করে।

OTP কোডের ঝুঁকি এবং কীভাবে নিজেকে রক্ষা করবেন

ওটিপি সুরক্ষার একটি কার্যকর স্তর কিন্তু একেবারে নিরাপদ নয়। সাম্প্রতিক অনেক কেলেঙ্কারিতে, খারাপ লোকদের উচ্চ প্রযুক্তি ব্যবহার করে আক্রমণ করার প্রয়োজন হয়নি, বরং কেবল ভুক্তভোগীকে নিজেরাই ওটিপি কোড প্রদান করতে হয়েছিল।

ব্যাংক কর্মীদের কাছ থেকে আসা ভুয়া কল, লগইন লিঙ্ক সহ ভুয়া বার্তা বা জেতার বিজ্ঞপ্তি - সবই বৈধতার সময়ের মধ্যে OTP কোড পাওয়ার লক্ষ্যে।

কিছু ম্যালওয়্যার নীরবে OTP সম্বলিত বার্তাগুলি পড়তে পারে যদি ব্যবহারকারী কোনও অজানা অ্যাপ্লিকেশনকে অনুমতি দিয়ে থাকেন। এই কারণেই ক্রমবর্ধমান সংখ্যক পরিষেবা এমন অ্যাপ ব্যবহার করছে যা টেক্সট বার্তার মাধ্যমে পাঠানোর পরিবর্তে তাদের নিজস্ব কোড তৈরি করে। এইভাবে, কোডগুলি মোবাইল নেটওয়ার্কের উপর নির্ভরশীল থাকে না এবং আটকানো আরও কঠিন।

আপনার অ্যাকাউন্ট সুরক্ষিত রাখার জন্য, আপনার কখনই আপনার OTP কারো সাথে শেয়ার করা উচিত নয়। যদি আপনি কোনও অস্বাভাবিক কল, টেক্সট মেসেজ, বা লিঙ্ক পেয়ে থাকেন যেখানে কোড চাওয়া হচ্ছে, তাহলে থামুন এবং সাবধানে তা পরীক্ষা করে দেখুন। Google Authenticator বা Microsoft Authenticator এর মতো অ্যাপের মাধ্যমে দ্বি-ফ্যাক্টর প্রমাণীকরণ ব্যবহার করাও নিরাপত্তা বৃদ্ধির একটি উল্লেখযোগ্য উপায়।